Отчёт по лабораторной работе 1-C (НФИ-2)

Julia. Установка и настройка. Основные принципы.

Козлов В.П.

Гаинэ А.

Шуваев С.

Джахангиров И.З

Хватов М.Г.

Российский университет дружбы народов им. Патриса Лумумбы, Москва, Россия

Докладчик

  • Козлов В.П., Гаинэ А., Шуваев С., Джахангиров И.З, Хватов М.Г.
  • НФИбд-02-22
  • Российский университет дружбы народов

Выполнение лабораторной работы

Цель работы

Отработка на практике методов обнаружения, анализа и нейтрализации многоэтапной компьютерной атаки, направленной на кражу научно-технической информации предприятия, с использованием учебного программного комплекса «Ampire».

Задание

  1. Обнаружить подбор пароля к файловому серверу и последующую загрузку вредоносного файла.
  2. Выявить бэкдор на рабочей станции через анализ планировщика задач и запущенных процессов.
  3. Зафиксировать кражу учётных данных (например, с помощью утилиты LaZagne) и их использование для доступа к Redmine.
  4. Проанализировать XSS-атаку в Redmine, которая привела к включению REST API и созданию привилегированного пользователя.
  5. Обнаружить слепую SQL-инъекцию, используемую для извлечения конфиденциальных данных из базы данных.
  6. Нейтрализовать последствия атаки: удалить бэкдор, несанкционированного пользователя и внедрённый вредоносный код.
  7. Устранить уязвимости: пропатчить Redmine от XSS (CVE-2019-17427) и SQL-инъекции (CVE-2019-18890), усилить политику паролей.

Активировали WireGuard и зашли на сайт платформы

Установка Chocolatey

На сайте ViPNet IDS NS просмотрели атакованные ip-адреса и суть атак

Атакованные ip-адреса

Добавили карточку инцидента Weak Password

Карточка инцидента Weak Password

Добавили карточку инцидента XSS

Карточка инцидента XSS

Добавили карточку инцидента SQL-injection

Добавили карточку инцидента SQL-injection

Атака XSS. Открыли на редактирование файл redcloth3.rb атакованного ip-адреса

Файл redcloth3.rb атакованного ip-адреса

Атака XSS. Удалили тег pre из разрешенных тегов, которые не будут экранированы

Удаление тега

Атака XSS. Перезапустили службу веб-сервера: sudo systemctl restart nginx.service

Перезапуск службы веб-сервера

Последствия XSS. Удалили пользователя hacker

Удалиление пользователя hacker

Атака SQL-инъекция. Открыли файл query.rb на редактирование на 10.10.2.15

Файл query.rb

Атака SQL-инъекция. Отредактировали query.rb, заменив each на map

Редактирование query.rb

Атака SQL-инъекция. Перезапустили nginx

Перезапуск nginx

Атака Weak Password. Зашли на MS Active Directory

MS Active Directory

Атака Weak Password. Сбросили пароль на dev1

Сброс пароля

Последствие Weak Password. Удалили Evil Task из планировщика задач

Удаление Evil Task

Выводы

Отработали на практике методы обнаружения, анализа и нейтрализации многоэтапной компьютерной атаки, направленной на кражу научно-технической информации предприятия, с использованием учебного программного комплекса «Ampire».